Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Sicherheit Netzwerk-Update

Mittwoch, 10. Juli 2013

Bei den vielen guten Phishing-Versuchen der letzten Tage bin ich froh, dass es Phishing auch noch in mies, sprachkrank und dumm gibt. Zum Beispiel in dieser Mail mit dem gefälschten Absender sicherheitsgruppe (at) web (punkt) osu (punkt) cz, der schon darauf hindeutet, dass der Phisher zu glauben scheint, dass eine Mail von der Sparkasse echter wirkt, wenn er keine Absenderadresse der Sparkasse benutzt.

Dieser Phisher hat es aber nicht nur verabsäumt, seinen Mailexperten zur Rate zu ziehen, auch sein Deutschexperte schien gerade nicht greifbar zu sein:

Freitag 05 Juli, 2013, -- Sehr geehrter Kunde, -- Aufgrund der hohen Malware-Angriff auf unsere Datenbank haben wir unsere SSL, um unbefugten Zugriff auf verbesserte Ihrem Online-Bankkonto. -- Mit diesem Verfahren können Sie Ihr Konto vorübergehend deaktiviert werden. Wir bitten Sie, und aktualisieren Sie Ihre Online-Verifizierung Details zur dauerhaften Abschaltung von Ihrem Online-Banking-Konto zu vermeiden.. -- aktualisieren und überprüfen Sie Ihr Konto. -- Mit freundlichen Grüßen, --Sparkassen-Finanzportal GmbH -- Sparkasse Bank Germany Sparkasse Erlangen Hugenottenplatz 5 91054 Erlangen www.sparkasse.de

Natürlich kann man dieses Prachtbeispiel für die Folgen fortgeschrittener cerebraler Zerbröselung von der mir bislang völlig unbekannten „Sparkasse Bank Germany“ aus Erlangen auch bekommen, wenn man gar nichts mit Erlangen zu tun hat.

Freitag 05 Juli, 2013,

Normalerweise fangen die Fehler ja erst in der Anrede an, aber diese mit einem Komma abgeschlossene Mischung aus US-amerikanischer und deutscher Datumsangabe zeigt bereits, dass sich hier jemand nicht die große Mühe gibt.

Sehr geehrter Kunde,

Wir bekommen alle jeden Tag echte Briefe von irgendwelchen Unternehmen, bei denen wir Kunde sind und in denen wir als „Sehr geehrter Kunde“ angesprochen werden. Nicht.

Aufgrund der hohen Malware-Angriff auf unsere Datenbank haben wir unsere SSL, um unbefugten Zugriff auf verbesserte Ihrem Online-Bankkonto.

Ich versuche mal zu verstehen, was der Absender dieses Textes mit seinen unbeholfenen Worten ausdrücken will:

  • Es gibt Malware-Angriffe auf die Datenbank der Sparkasse Bank Germany. Das heißt also, dass es Computer mit installierter Malware gibt, die einen Zugriff auf den Datenbankservercluster der SBG (ich kürze das jetzt mal lieber ab) haben. Diese Computer müssten in den Geschäftsräumen der SBG stehen, denn von außen kommt man da nicht ran.
  • Und deshalb hat die SBG irgendwas mit „ihre SSL“ gemacht, um unbefugten Zugriff aufs Online-Konto zu verbessern, statt das hausinterne Problem zu lösen.

Das ist eine bemerkenswert einleuchtende Strategie aus Monty Pythons Handbuch für die Formulierung mieser Phishing-Mails. :mrgreen:

Mit diesem Verfahren können Sie Ihr Konto vorübergehend deaktiviert werden.

Und weil die so rumpatzen, haben Kunden ein Problem, das sie nur lösen können…

Wir bitten Sie, und aktualisieren Sie Ihre Online-Verifizierung Details zur dauerhaften Abschaltung von Ihrem Online-Banking-Konto zu vermeiden..

aktualisieren und überprüfen Sie Ihr Konto.

…wenn sie in eine… ähm… merkwürdig formulierte Mail klicken, woraufhin sich wundersamerweise ein Browserfenster auftut, in dem eine Seite erscheint, die in ihrem Aussehen so tut, als sei sie eine Seite der SGB, in welcher dann noch einmal alles eingegeben werden muss, was die SBG eh schon weiß, weil sie wegen „ihrer SSL“ so vergesslich geworden ist.

Der Link führte übrigens in die Domain 2476 (punkt) ir – Kunden der SBG sollen offenbar glauben, dass ihre Kontonummer im Domainnamen verschlüsselt ist.

Mit freundlichen Grüßen,

Sparkassen-Finanzportal GmbH

Mit winkendem Gruß von der Übersetzerfront

Eine Gesellschaft mit (deutlich) beschränkter Hoffnung

Sparkasse Bank Germany
Sparkasse Erlangen
Hugenottenplatz 5
91054 Erlangen
www.sparkasse.de

Immerhin ist es den unbekannten Absendern gelungen, die Adresse einer existierenden Sparkassenfiliale zu verwenden, wenn das auch nicht gerade nach der Zentrale mit großem Rechenzentrum aussieht. Für gewöhnlich völlig uninformierte Spamleser führen diesen teilweisen Treffer darauf zurück, dass den Spammern eine echte Mail dieser Filiale als Vorlage für ihre lustige Reise ins Land unbekannter Sprachen diente.

Diese gnadenlos doofe Phishing-Spam ist ein Zustecksel von S.S.

Informationen bezüglich Ihres PayPal-Kontos

Freitag, 5. Juli 2013

Endlich habe ich auch einmal eine Mail mit einer Klarnamen-Ansprache – und ich kann wegen der verwendeten Mailadresse ganz genau sagen, wo dieser Name herkommt: Er kommt aus dem Impressum einer Website. Die Mailadresse wird von mir an keiner anderen Stelle verwendet.

Die Daten für die Mails mit namentlicher Ansprache scheinen also wirklich aus diversen Quellen zusammengeführt zu werden. Eine Quelle sind dabei gesetzlich erzwungene Angaben auf Websites. Oder, um es mal etwas schärfer zu sagen: Die absurde, in der BRD geltende Impressumspflicht auch auf privaten Websites arbeitet direkt der organisierten Internet-Kriminalität zu. Ob sie darüber hinaus für irgendjemanden irgendeinen Vorteil hat? Außer vielleicht für Abmahnanwälte und sonstige Juratrolle, die nicht extra whois tippen müssen, um eine ladefähige Anschrift zu erhalten?

Ach! 🙁

Ich bitte zu beachten, wie gut diese Phishing-Mail formuliert wurde. Auch ihr Layout entspricht dem, was ein PayPal-Kunde gewohnt ist. Ich halte diese Spam für sehr gefährlich.

Sehr geehrter Herr Elias Schwerdtfeger,

In der Tat, so heiße ich!

im Rahmen unserer aktuellen Sicherheitsprüfungen haben wir bezüglich Ihres PayPal-Kontos einige Unstimmigkeiten entdeckt. Um alle Unstimmigkeiten zu klären, ist es nötig Sie als eindeutigen Inhaber zu ermitteln.

Moment mal, ihr könnt mich anmailen und ihr sprecht von „meinem Konto“, aber ihr haltet es für nötig, mich als „eindeutigen Inhaber“ zu ermitteln. Wegen irgendwelcher nicht einmal angedeuteter „Unstimmigkeiten“ Das klingt jetzt aber doof und wenig überzeugend. Man könnte auch von einer „Unstimmigkeit“ sprechen…

Wie geht es jetzt weiter?

Na, ist doch klar: Ich lösche den Müll. Aber nein, das kann ein Spammer mir doch nicht empfehlen

Bitte klicken Sie auf „Konfliktlösungen“. Dort ist ganz genau beschrieben, weshalb wir diese Prüfung durchführen und welche Informationen wir von Ihnen benötigen.

Konfliktlösungen

Wer auf den Link – der übrigens mit CSS im Stile einer Schaltfläche gestaltet wurde – klickt, landet nicht auf der PayPal-Website, sondern auf einer Site unter der Domain paypal (strich) konflikt45920 (punkt) net.

Die Phishing-Seite ist inzwischen vom Netz. Man hätte dort – genau wie bei früheren Versionen der Phishing-Masche – Gelegenheit erhalten, Kriminellen die Login-Daten zum PayPal-Konto und im zweiten Schritt alle für einen Betrug erforderlichen Kreditkartendaten zu geben. Die Frage, warum man Daten noch einmal eingeben soll, die PayPal schon längst bekannt sind, soll man sich dabei natürlich nicht stellen. Schon nach dem angeblichen „Login“ können die Verbrecher das PayPal-Konto beliebig missbrauchen.

Wer darauf reingefallen ist, sollte sofort sein Passwort ändern und sich mit PayPal in Verbindung setzen. Wer im folgenden Schritt Kreditkartendaten angegeben hat, sollte ebenfalls sofort Kontakt mit seiner kontoführenden Bank aufnehmen und seine Kreditkarte sperren lassen.

Vielen Dank für Ihr Verständnis und Ihre Mithilfe in dieser Angelegenheit.

Herzliche Grüße,
Ihr PayPal-Team

Das ausgesprochen patzig und formelhaft wirkende „vielen Dank“ in einem solchen Kontext ist die letzte Schwäche dieser Phishingmail.

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt nicht von PayPal. Aber es ist eine verdammt gute Phishing-Mail, auf die viele arglosere Menschen hereinfallen können.

Übrigens: Würde PayPal (und jeder andere Dienstleister) dazu übergehen, alle seine Mails digital zu signieren, so dass jeder Empfänger in die Lage versetzt wäre, sich davon überzeugen zu können, dass Mails wirklich von PayPal kommen und inhaltlich unverändert sind; würde PayPal (und jeder andere Dienstleister) einen solchen Schritt mit Aufklärung und Unterstützung seiner Kunden in Sachen PGP begleiten, so dass nach kurzer Zeit wenigstens jeder Kunde von dieser Möglichkeit gehört hat… ja, dann würde dem Phishing ganz schnell das Wasser abgegraben, und niemand würde diese Form der Kriminalität vermissen, außer vielleicht drei Handvoll Verbrecher, die nur ihre Mutter liebhaben kann. Aber vermutlich ist PayPal (und jeder andere Dienstleister) mit dem Einsatz einer seit fünfzehn Jahren verfügbaren Technik überfordert und bedarf der kompetenten technischen Unterstützung, und vermutlich ist wegen der Wirtschaftskrise nicht das Geld dafür übrig, kompetente Fachleute für die Implementation einer kryptografischen Signatur der versendeten E-Mail zu bezahlen. Dass PayPal (und jedem anderen Dienstleister) die Kunden und ihre möglichen finanziellen Schäden scheißegal sind, möchte doch niemand annehmen, oder?

Das sähe ja wie Kundenverachtung aus… :mrgreen:

Mitteilung

Freitag, 28. Juni 2013

Gefälschte Absenderadresse dieses hingestümperten Versuchs ohne besondere Überzeugungskraft ist noreply (at) commerz (punkt) de – tja, Spammer, wenn du schon einen Absender fälschst, dann könntest du doch eigentlich auch gleich die richtige Domain der Commerzbank nehmen. Ach, solche Gedanken hast du dir nicht gemacht, weil es dir zu mühsam war, sich Gedanken zu machen? Ich verstehe. Das merkt man deiner Phishingmail aber auch an…

Sehr geehrter Kunde,

Hallo Kunde, deinen Namen kennen wir nicht.

Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde.

Wir unterschieden hier zwischen autorisierten und nicht-autorisierten Computern. Da müssen sie schon aufpassen, an was für einem Rechner sie sich einloggen, um ihre Fernkontoführung machen. Wenn der nicht autorisiert ist, schrillen bei uns alle Alarmglocken – ihre Anmeldedaten sind uns hingegen egal

Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind.

https://www.commerzbank.de/

Also seien sie bitte so doof und geben noch einmal sämtliche Daten ein, die bei der Commerzbank schon längst bekannt sind. Wundern sie sich nicht darüber, dass dabei in der Adresszeile ihres Browser nichts von „Commerzbanking“ steht, sondern mdsideas (punkt) com und geben sie ihre PIN und ihre gesamten Kreditkartendaten auf einer „liebevoll“ nachgemachten Commerzbank-Site ein. Wir plündern dann ihr Konto und lassen es uns richtig gut gehen!

Danke

Ihre Phisher mit der miesen Masche.

Wer darauf reingefallen ist, obwohl das wegen der miesen Machart der Spam schwierig ist, sollte sich sofort mit seiner Bank in Verbindung setzen – bei der Gelegenheit könnte man auch mal fragen, warum eigentlich kein Wort der Warnung über die laufende Phishing-Masche auf der Startseite der Commerzbank-Homepage steht und ob man das als Zeichen interpretieren soll, dass es der Commerzbank gleichgültig ist, wenn ihre Kunden betrogen werden. Immerhin muss ich der Commerzbank zugute halten, dass sie eine Grundaufklärung über Phishing auf ihrer Website leistet, was leider nicht der Regelfall ist.

Kontoinformаtionen аktuаlisieren

Sonntag, 9. Juni 2013

Absender Paypal mietze911 (at) gmx (punkt) net

Das ist bestimmt wieder eine echte Qualitätsspam! 😀

Natürlich kommt diese Mail nicht von Paypal. Und natürlich ist dieser Absender gefälscht. Aber wenn man schon einen Absender fälscht, könnte man doch eigentlich auch eine halbwegs überzeugende Adresse nehmen, oder? Zu kleinen intellektuellen Leistung dieser Überlegung war der dumme Spammer entweder nicht willens oder nicht imstande.

Lieber Kunde,

Aber so ein lieber Kunde! :mrgreen:

Wir аrbeitet [sic!] fortlаufend аn der Gewährleistung der Sicherheit. Dаzu werden die Konten in unserem System regelmäßig überрrüft.

Vor meinem inneren Auge wuselt die „Abteilung für die Gewährleistung der Sicherheit“ ameisenhaft durch den Serverpark PayPals und prüft einfach anlasslos immer wieder zyklisch alle Konten durch. Mit einem Sicherheitsgewährleistungsprüfgerät.

Kürzlich hаben wir Ihr Konto geрrüft und benötigen weitere Informаtionen, dаmit wir Ihnen einen sicheren Service аnbieten können.

Leider sind die Prüfungen so gut, dass man als Kunde etwas davon mitbekommt. Man bekommt nämlich tolle Mails von GMX… sorry… „PayPal“, in denen man dazu aufgefordert wird, „PayPal“ noch einmal lauter Dinge zu sagen, die PayPal schon längst weiß. Vermutlich wird die Datenbank von PayPal zur „Gewährleistung der Sicherheit“ einmal ratzekahl durchgelöscht – nur die Kontostände bleiben erhalten. Und wenn man das nicht tut…

Solаnge uns diese Informаtionen nicht zur Verfügung stehen, ist Ihr Zugаng zu vertrаulichen Kontofunktionen eingeschränkt. [sic!]

…wird der Zugang zu vertraulichen Kontofunktionen eingeschränkt. Ob die wohl so vertraulich sind, dass noch niemand etwas davon mitbekommen hat?

Wir möchten Ihren Zugаng schnellstmöglich wiederherstellen und entschuldigen uns für diese Unаnnehmlichkeit.

Klicken Sie bitte hier um diese Beschränkung аufheben zu können

Der Link führt natürlich nicht zu paypal (punkt) de, sondern auf die Domain 6qt3p6kz (punkt) pe43 (punkt) com, die gleich weniger vertrauenswürdig aussieht. In der URI ist die Base64-codierte Mailadresse des Empfängers enthalten, damit die Spammer auch wissen, dass die Mail ankommt – und um diese Mailadresse in der nach einer Weiterleitung erscheinenden, „liebevoll“ nachgebauten PayPal-Loginseite einzutragen¹:

Screenshot der PayPal-Phishingseite mit der eingetragenen Mailadresse

Natürlich habe ich mir für meinen Test erlaubt, eine andere Mailadresse anzuhängen².

So braucht man nur noch sein Passwort einzugeben und auf „Einloggen“ klicken, um den Verbrechern vollen Zugriff aufs PayPal-Konto zu gewähren.

Aber warum, zum Henker, warum sollte man das tun?

Wаrum ist mein Kontozugriff eingeschränkt?

Ihr Kontozugriff wurde аus dem folgenden Grund eingeschränkt:
Wir möchten überрrüfen, dаß sich niemаnd ohne Ihre Erlаubnis Zugriff zu Ihrem Konto verschаft hаt.

Ach so, deshalb. :mrgreen:

Coрyright © 1999-2013. аlle Rechte vorbehаlten.

Eine Spam (oder auch jede gewerbliche E-Mail), die deklariert, dass sie irgendjemandes „geistiges Eigentum“ ist, wirkt gleich mindestens eine Größenordnung lächerlicher – oder wird so ein Hinweis neuerdings auch unter jeden Brief, jeden Kontoauszug, jede Reklame gestempelt?

¹Grundsätzlich ist von jedem Klick in eine Spam abzuraten, denn die Seiten der Kriminellen sind immer gefährlich. Den Screenshot habe ich mit einem Browser in einer virtuellen Maschine gemacht. Eine alternative und sehr sichere Möglichkeit ist die Verwendung eines Webdienstes zum Anfertigen von Screenshots – wer neugierig ist, kann sich damit leicht einen Eindruck verschaffen, ohne dass Kriminelle im Browser rummachen können.

²Wer noch nicht weiß, wie das geht: man 1 base64

Sehr geehrter Kunde

Donnerstag, 6. Juni 2013

Ja, das war wirklich der Betreff dieser HTML-formatierten Phishing-Mail, die angeblich von „Sparkasse“ mit der gefälschten Absenderadresse konto (at) sparkasse (punkt) de kommt. Ist doch schön, dass das Konto eine Mail schickt… :mrgreen:

Dass diese Mail nicht von der Sparkasse kommt, sollte auch für intellektuell etwas unbewaffnete Leser leicht zu erkennen sein. Die inhaltliche und sprachliche Gestaltung dieses prosaischen Werkes eines unbekannten Stümpers erfüllt wieder einmal die im Phishing üblichen qualitativen Maßstäbe, einschließlich keck eingestreuter kryrillischer Zeichen, weil der Spammer in seiner technischen Unwissenheit schlicht zu doof ist, einen Umlaut in eine HTML-Mail zu kriegen. Wer das für eine Mail von einer Sparkasse hält, der verwechselt auch einen Kuhfladen mit einer Pizza.

Hier zum Genuss eine Wiedergabe des neuesten Gefechtes an der Idiotiefront in seiner prächtigen Einheit aus Inhalt und Gestalt – und ja, der gesamte Text ist fett gesetzt:

Sehr geehrter Kunde,

Bitte beachten Sie, dass Ihr Online-Zugang zu Ihrem Konto in Kьrze ablдuft. Fьr diesen Dienst ohne Unterbrechung fortzusetzen, klicken Sie auf das Symbol unten fьr eine manuelle Aktualisierung Ihres Kontos.
http://onlinebanking/sparkasse.de

Nach Abschluss der Anweisungen zum Konto zu aktualisieren, wird Ihr Online-Zugang zu Ihrem Konto automatisch wiederhergestellt werden und keine weitere Aktion wird von Ihnen verlangt werden. Sie werden durch der konto-abteilung fьr weitere Informationen zum status ihres kontos kontakiert.

Beim Online-Banking haben Sie per Klick alles im Griff.

Mit dem komfortablen Online-Banking haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto. Beim Online-Banking erledigen Sie Ьberweisungen und Dauerauftrдge bequem per Mausklick. Online-Banking bietet aber noch viel mehr

DIE VORTEILE VON ONLINE-BANKING AUF EINEN BLICK:
Ш Kontozugang rund um die Uhr
Ш Schneller Zugriff aufs Girokonto
Ш Online-Banking bequem vom PC aus
Ш Flexibel in jedem Winkel der Welt
Ш Ьbersichtliche Kontofьhrung
Ш Hohe Sicherheitsstandards beim Online-Banking
Ш Online-Banking kombinierbar mit Telefon-Banking

Respektvoll,
Kundendienst.

Übrigens: Der scheinbare Link auf die nicht existente (und für jeden Menschen mit mehr als zwei Wochen Internet-Erfahrung als fehlerhaft erkennbare) Domain onlinebanking geht in Wirklichkeit – es ist eine HTML-Mail, da lässt sich jeder Text mit jedem Link unterlegen – auf die Domain mit dem bemerkenswerten Namen webxxx00000 (strich) ruckkopplung (punkt) freeserver (punkt) me. Die dort kostenlos gehostete „Website der Sparkasse“ ist allerdings inzwischen verschwunden… 😉

Die andere Seite der Internet-Kriminalität…

Freitag, 31. Mai 2013

Keine Spam, nur ein Zitat eines Heise-Artikels, eine Leseempfehlung, ein Link, eine kurze Meinungsäußerung:

Heise Security konfrontierte Mastercard mit der E-Mail und der Phishingseite. Mastercard warnt weder auf seinen Webseiten vor solchen Betrugsversuchen noch wurde eine aktuelle Warnung ausgesprochen. Das Unternehmen reagierte nicht auf die Anfrage.

Weiterlesen bei Heise Online: Phishing und verseuchter Spam – Betrug fast ohne Makel

Von mir nur ganz kurz dazu…

Unternehmungen, deren Kunden in dieser Weise von aktuellen, hochgefährlichen Phishing-Kampagnen der organisierten Internet-Kriminaltät betroffen sind und die nicht einmal einen auffällig platzierten Warnhinweis auf ihrer Website unterbringen wollen, um zu verhindern, dass ihre Kunden zu Opfern perfider krimineller Maschen werden, sind die andere Seite des Erfolgs der Kriminalität. Der Arbeitsaufwand, einen solchen gut sichtbaren Hinweis auf die eigene Website zu bringen, liegt deutlich unter einer Stunde, und der persönliche Nutzwert solcher Hinweise für die Kunden liegt deutlich über dem sonst gepflegten, gleichermaßen glatten wie psychisch manipulativen und Nichts sagenden Reklameton solcher Websites. Im Unterlassen solcher Hinweise spiegelt sich eine bemerkenswerte Gleichgültigkeit gegenüber den eigenen Kunden und ihren eventuellen Schäden. „Bemerkenswert“ bedeutet übrigens, dass es wert ist, dass man es bemerke und sich gut merke, damit man es über die ganze, breit verabreichte Reklame niemals vergesse. Verträge sind übrigens kündbar.

AKTUALISIEREN SIE IHR KONTO

Donnerstag, 30. Mai 2013

Sparkasse Erlangen
Hugenottenplatz 5
91054 Erlangen
29-05-2013

Toll! Mit einer IP-Adresse aus Indonesien versendet!

Sehr geehrter Kunde,

Hallo Unbekannter, …

Seit Montag, 25. März 2013, arbeiten wir mit einem neuen Sicherheitssystem. Dieses neue System stellt sicher, dass es keinen Missbrauch auf Ihrem Konto geben kann , zB durch bösartige Software oder einen Virus auf Ihrem Computer installiert warden kann. Um sicherzustellen, dass Ihr Konto von unserem neuen System geschützt wird, Um diesen Service nutzen zu können, empfehlen wir Ihnen, das sie auf den untenstehenden Link klicken und geben Sie Ihre Informationen zu überprüfung ein. Sobald Sie dies getan haben, wird Ihr Konto mit der neuen Sicherheits-Software aktualisiert .

…wir sitzen jetzt schon wieder seit Tagen an ein paar neuen Formulierungen für unsere Phishing-Mails. Aber jetzt hat einer unserer Komiker mal eine zündende Idee gehabt. Diesmal ändern wir zwar auch wieder unser Sicherheitssystem, wie wir das immer in unseren Mails tun. Das neue daran: Wir machen das auf unseren Computern, damit ihr Konto keine Viren mehr bekommt, die dann einfach so von ihrem Konto auf ihren Computer rüberhüpfen. Damit das funktioniert, müssen sie uns aber eine ganze Menge Sachen sagen, die wir schon wissen.

Unsere Mail ist HTML-formatiert, und der Link…

http://Sparkasse-online-sicherheit.de

…geht natürlich nicht auf die tolle angegebene Domain, die auch schon nicht die Website irgendeiner Sparkasse ist, sondern zu karpinsk (strich) edu (punkt) ru (slash) www (punkt) sparkasse (punkt) de (slash) index (punkt) html. Als Erlanger Sparkasse, die ihre Spam über Indonesien versendet, benutzen wir selbstverständlich eine russische Domain für unsere Website. Das Web ist eben international. :mrgreen:

[Die Phishing-Seite in dieser Domain existiert jetzt nicht mehr. Danke!]

Was wir dann mit ihren Zugangsdaten machen? Ist doch klar, wir…

VORSICHT, Nach dem Ausfüllen der angeforderten Informationen wird Sie per Telefon von einem unserer Mitarbeiter sie kontaktieren um die Installation abzuschließen zu koennen. Denken Sie daran, das Sparkasse Erlangen Bank, um Ihre Sicherheit und Schutz verpflichtet ist. Vielen Dank für Ihre Zeit und Zusammenarbeit.

…rufen sie an und leiern ihnen noch ein paar TANs am Telefon raus, damit wir auch unsere Geschäftchen machen können. Mit dem Geld anderer Leute ist das für uns viel billiger.

Mit freundlichen Grüßen,
Sparkasse Erlangen

Mit phishigen Grüßen
Die Mafia

© Sparkasse Erlangen 1998-2013. Alle Rechte vorbehalten.

Solche Mails wirken viel echter, wenn auch noch ein Urheberrecht darauf beansprucht wird. :mrgreen:

Sparkasse Konto Nachrichten

Mittwoch, 29. Mai 2013

Ich hätte aber lieber die Sportnachrichten. :mrgreen:

Schlechtes Phishing

Angeblicher Absender dieser Mail ist onlinedat (at) sparkasse (punkt) de. Natürlich ist der Absender gefälscht und diese Mail kommt nicht von der Sparkasse. Die Sparkasse würde auch kaum ihre Kunden mit einer Mail anschreiben, die sie über einen in den USA gemieteten Server versendet.

Sehr geehrter Kunde,

Ja, manchmal bin ich Kunde. Zum Beispiel, wenn ich ein Brot kaufe.

Ihr Online-Banking-Konto wurde eingeschrankt

Huch! Und warum das? Und unter welchem Namen führe ich das Konto? Mit welcher Kontonummer? Bei welchem Kreditinstitut? Und seit wann heißt das Produkt dieses Kreditinstutes „Online-Banking-Konto“? Und warum gibt es keine Umlaute?

Klicken Sie auf den folgenden Link, um alle blockierten Zugriff [sic!] wiederherzustellen.

Anmelden

Und ja nicht darüber wundern, dass der Link gar nicht zur Sparkasse geht! Und bloß nicht die Frage stellen, warum die Sperrung eines Kontos aufgehoben wird, wenn man „der Sparkasse“ lauter Dinge sagt…

Screenshot der Phishing-Seite

…die die Sparkasse schon längst weiß! Einfach einen notdürftig als „Kontoupdate“ verlarvten Datenstriptease machen und an die organisierte Kriminalität weiterleiten! Nicht darüber wundern, dass die zwar vom „Online-Banking-Konto“ sprechen, aber die Daten einer Kreditkarte haben wollen!

Au weia, Phisher, früher habt ihr euch aber auch mehr Mühe gegeben…

Customer Care Account Dept.
© sparkasse.de 2013 Alle Rechte vorbehalten.

Nein, der miese Phish ist nicht alles

Was in diesem Zitat übrigens untergeht: Damit ist die Mail noch lange nicht zu Ende. Der Spammer scheint nämlich der Meinung zu sein, dass eine HTML-Mail erst dann so richtig HTML wird, wenn da auch noch eine Menge aus normaler Lesersicht zunächst völlig unsichtbares JavaScript dranhängt, und so hat er sich entschlossen, die folgenden Skriptversuche zu machen:

Auszug aus dem Quelltext der Spam

Der im Screenshot sichtbare Bereich macht ungefähr ein Viertel des gesamten Codeumfangs aus.

Natürlich wird ein vernünftig konfigurierter Mailclient niemals JavaScript in einer E-Mail ausführen. Aber dieses kleine Beispiel aus der täglichen Spamhölle zeigt einmal mehr, warum man gar nicht vorsichtig genug sein kann, wenn man es mit Spam zu tun hat und warum man auch lächerliche Spam niemals unterschätzen darf. Hier sollen JavaScript-Fragmente von allen möglichen Stellen im Internet abgeholt und lokal ausgeführt werden. Es ist davon auszugehen – nein, ich habe mir das jetzt nicht in allen seinen blutigen Einzelheiten angeschaut – dass auf diesem Wege versucht wird, aktuelle Schadsoftware zu installieren.

Und deshalb benutzt man einen vernünftig konfigurierten Mailclient (ich empfehle „normalen“ Anwendern den Thunderbird, und zwar immer auf aktuellem Stand), bei dem in der Standardkonfiguration die Ausführung solcher Versuche vollkommen auszuschließen ist. Ich weiß gar nicht, mit welcher Software oder mit welchem Webmailer ein derartiger Angriff erfolgversprechend wäre. Aber es muss dermaßen unsichere Software geben, sonst gäbe es nämlich diese Spam nicht. Die Verbrecher sind, was solche Dinge betrifft, auf dem neuesten Stand. Sie leben davon.

Angesichts der Tatsache, dass das Phishing geradezu lächerlich schlecht ist, vermute ich sogar, dass eine im Hintergrund laufende Installation von Schadsoftware der eigentliche Zweck dieser Mail ist – und das Phishing eher eine Nebensache, gar nicht so wichtig für die Absender. Ein Empfänger mit verwundbarer Mailsoftware sieht diese Spam, schaut eine Sekunde drauf, lacht womöglich noch darüber, löscht sie und vergisst sie… und ist damit bereits infiziert.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.